Укрощение @Интернет@

Вирусы и легальные программы


Развивая тему вирусов – в принципе возможны вирусы, которые, попав на компьютер своей жертвы, обращаются к сайту рекламодателя, имитируя загрузку страницы из браузера, но, в целях конспирации, не отображают показывают ее пользователю. Обнаружить такие накрутки можно с помощью графических ссылок, отслеживающих координаты мыши в момент их нажатия. Вирус не сможет правдоподобно имитировать их.

Сказанное выше применимо не только к вирусам. Точно так действуют и легальные программы. Обратите внимание – не могут, а уже действуют. Существуют даже готовые пакеты "накруток", предназначенные для интеграции в другие приложения, например, AddGateway. Причем, многие из них нагло прописывают себя в автозагрузке и крутят баннеры не только в момент своей работы, но и в любое другое время! (При условии, конечно, что пользователь находится в сети).

Не все разработчики упоминают этот факт в документации

на свое приложение, и пользователь зачастую узнает о нем лишь тогда, когда замечает, что модем подозрительно часто мигает, а все файлы и web-страницы грузятся несколько медленнее, чем обычно.

Разработчики антивирусов, похоже, не видят ничего опасного в таких программах и не выдают предупреждающих сообщений при их проверке. А следовало бы… Пользователю, не особо разбирающемуся в тонкостях операционной системы, обнаружить и защитится от подобных "гостей" очень трудно. Персональные межсетевые экраны, наподобие AtGuard, здесь бесполезны, поскольку, не могут достоверно определить кто устанавливает исходящее соединение – легальный пользователь или нехорошая программа. Тем более что "совсем нехорошие" программы крутят банеры с помощью браузера, делая невидимым его окно.

При возникновении подозрений рекомендуется запустить утилиту msconfig в Windows 9x или "Панель управленияàАдминистрированиеàУправление компьютером" в Windows NT\2000 и удалить все лишние программы из "Автозагрузки". Затем с помощью утилиты Depends (входит в Windows SDK) посмотреть: какие модули импортируют подозреваемые программы. Большинство "накрутчиков" выдают себя наличием модуля ws2_32.dll, необходимого для установки и поддержания TCP-соединений.

Большинство, но не все! Ведь ничто не мешает запустить браузер с помощью утилиты start.exe или API-функции CreateProcess, а затем скрыть его окно вызовом ShowWindow. Для полной уверенности необходимо дизассемблировать и подробно проанализировать каждое, потенциально опасное, приложение. Такая работа доступна далеко не всякому специалисту, не говоря уже о простых пользователях!

Словом, было бы очень хорошо, если бы разработчики антивирусов наконец-то обратили на эту проблему свое внимание.



Содержание раздела